Bыполнениe лабораторной работы 3

група 1е

Цель работы

Закрепить практические навыки обнаружения уязвимостей, детектирования инцидентов и восстановления безопасного состояния корпоративных сервисов в рамках сценария «Защита контроллера домена предприятия».

Задание

Провести анализ событий, выявить уязвимости и последствия атак, а также устранить их, используя средства мониторинга и реагирования, предусмотренные в учебном комплексе Ampire.

Выполнение лабораторной работы

Уязвимость № 1 — SQL-инъекция (Web Server PHP)

SQL-инъекция позволяла выполнять произвольные запросы к базе данных и загружать вредоносные файлы. Нарушитель использовал параметр id в URL-запросах.

Описание атаки

Добавляем проверку типа параметра $id

меняем функцию

Готово)

Уязвимость устранена

Далее нужно устранить последствие. Проверяем сокеты уязвимой машины

установленные соединения

Завершаем сессию с нарушителем

Завершение сессии

Готово!

Последствие устранено

Уязвимость № 2 — отключённая защита антивируса (Administrator Workstation

На узле администратора выключена защита в реальном времени Windows Defender, что дает нарушителю возможность получить контроль над компьютером администратора при запуске им вредоносного скрипта

Описание атаки

Удаляем запись

Удаление записи DisableAntiSpyware в реестре

И поскольку установленной сессии с нарушителем не обнарудилось, у нас устранились и уязвимость и последствие

Готово

все устранено

Уязвимость № 3 — слабый пароль учётной записи (MS Active Directory)

На узле MS Active Directory установлен слабый пароль к учетной записи администратора, что позволяет нарушителю перебирать пароль

Описание атаки

Меняем пароль к учетной записи администратора на более сложный, не содержащийся в словарях

Изменение пароля администратора

Добавление нового привилегированного пользователя можно отследить

с помощью аудита событий входа в учетную запись Windows security. Удаляем пользователя с именем “Hacker”

Удаление пользователя hacker в AD User & Computers

Уязвимость и последствие успешно устранены!

15

Выводы

В ходе лабораторной работы были:

  • обнаружены и устранены уязвимости: SQL-инъекция, отключённая защита антивируса, слабый пароль администратора;
  • ликвидированы последствия атак (веб-шелл, meterpreter-сессии, несанкционированные пользователи);
  • восстановлена безопасность всех узлов системы;
  • применены средства анализа и детектирования — ViPNet IDS NS, TIAS и Security Onion.

Система приведена в безопасное состояние.

:::